RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Agent.fqy
| Время детектирования | 11 ноя 2010 22:06 MSK |
| Время выпуска обновления | 12 ноя 2010 23:41 MSK |
| Описание опубликовано | 20 дек 2010 15:27 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является HTML-страницей, содержащей сценарии языка JavaScript. Имеет размер 2698 байт.
Деструктивная активность
После активации вредонос, используя сценарии Java Script, выполняет дешифровку своего кода и запускает полученный деструктивный функционал на выполнение. Используя уязвимость, которая возникает при некорректной обработке функцией MPC::HexToNum escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885), а также при помощи ActiveX объекта "MSXML2.XMLHTTP", вредонос выполняет загрузку файла, который располагается по следующему URL:
http://69.***.78/iwjvbqjwxvcoyokm5.vbsи сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\l.vbsФайл имеет размер 987 байт.
Далее, используя командную строку, эксплоит запускает на выполнение загруженный файл, а также завершает процесс центра справки и поддержки Microsoft Windows:
helpctr.exeПри помощи скрипт-файла "l.vbs" вредонос выполняет загрузку файла, который находится по ссылке:
http://69.***.78/foj.php?i=3На момент создания описания ссылка не работала. Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя с именем:
%Temp%\exe.exeЗатем загруженный файл запускается на выполнение. После этого вредонос завершает процессы:
wmplayer.exe realplay.exeи удаляет файлы:
%Temp%\l.vbs %Temp%\exe.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Установить обновления:
http://www.microsoft.com/technet/security/bulletin/ms10-042.mspx - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Troj/ExpJS-BJ (Sophos)
- VirTool:
JS/Obfuscator. Y (MS(OneCare)) - a variant of JS/TrojanDownloader.
Agent. DMXTTQW trojan (Nod32) - JS:
Downloader-AET [Trj] (AVAST) - Trojan-Downloader.
JS. Agent. fqy [AVP] (FSecure)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».